:
/html/fed1c160-dde3-49d5-a54f-a4e7a39f1695.htm">为RD会话主机服务器配置许可证设置。
2、配置远程桌面授权
微软的终端服务客户端访问许可证(TSCAL)有下面两种:
TS每设备CAL
TS每用户CAL
如果使用每设备授权模式,并且客户端计算机或设备初次连接到终端服务器,默认情况下,向该客户端计算机或设备颁发一个临时证书。
在客户端计算机或设备第二次连接到终端服务器时,如果许可证服务器已激活,并且有足够的TS每设备CAL可用,许可证服务器将向该客户端计算机或设备颁发一个永久TS每设备CAL。
TS每用户CAL为一个用户授予通过无限数目的客户端计算机或设备访问终端服务器的权限。
TS授权不强制使用TS每用户CAL。
因此,无论许可证服务器上安装了多少个TS每用户CAL,均可以建立客户端连接。
但这并未使管理员免于考虑Microsoft软件许可条款对每个用户都需要有效的TS每用户CAL的要求。
如果使用每用户授权模式,并且不是每个用户都有TS每用户CAL,则违反了许可条款。
我们将使用TS每用户CAL来配置。
(1)首先,检查RemoteDesktopUsers组和TSWebAcessComputers的成员,如果没有“DomainUsers”,则添加。
把DomainAdmins组添加到TSWebAdministrators组中。
注意:
TSWebAcessComputers的成员就是组,而微软的帮助文件和官方网站的说明中都是加入计算机,显然是错误的。
(2)开始—运行,输入controlsystem,选择“远程控制”。
选择“仅允许运行使用网络级别身份验证的远程桌面的计算机连接(更安全)”。
“应用”。
(3)开始—管理工具—远程桌面服务—远程桌面会话主机配置
在“远程桌面授权模式”上右键,属性。
属性:
选择“每用户”,点“应用”,“确定”。
(4)激活服务器(这一步很关键,否则,远程桌面服务只能使用120天)
在MYPC上点右键,选择“激活服务器”。
下一步
连接方法:
“自动连接”,下一步
公司信息:
随便填写吧
下一步
下一步
许可证计划:
选择“企业协议”,下一步
输入协议号码:
,下一步
产品版本和许可证类型:
产品版本,选择“WindowsServer2008或WindowsServer2008R2”;许可证类型,选择“每用户CAL(TS或RDS)”;数量,输入“300”。
下一步
(5)数字签名设置
开始—管理工具—远程桌面服务—RemoteApp管理器—数字签名设置,更改。
勾选“使用数字证书签名”,再点“更改”
点“确定”,再点下面的“确定”。
(6)远程桌面Web访问配置
开始—管理工具—远程桌面服务—远程桌面Web访问配置
我这里选择“这是一台专用计算机”,输入域帐号和密码,点“登录”。
把源名称更改为远程桌面服务器的名称,我的是“”。
点确定。
(7)配置网络身份验证,让XP和Windows2003使用RemoteApp程序
在安装远程桌面服务器时,我选择了“需要网络级别身份验证”。
这个选项规定了只能在Vista以后的系统才能使用RemoteApp程序,而XP和Windows2003就不能使用RemoteApp程序,因此我们把这个选项去掉,让XP和Windows2003也能使用RemoteApp程序。
开始—管理工具—远程桌面服务—远程桌面主机会话配置
取消选择“仅允许运行使用网络级别身份验证的远程桌面的计算机连接”。
(8)配置RDP-Tcp会话
切换到“会话”选项卡,勾选“改写用户设置”和“改写用户设置”。
结束已断开的会话:
1分钟;活动会话限制:
从不;空闲会话限制:
30分钟。
这个设置主要是为了有些基于C/S架构的软件,有客户端连接限制。
比如ERP,公司购买了50站点,这样就需要控制一下会话了。
至此,远程桌面服务器基本安装完毕。
下面的任务是配置RemoteApp程序。
3、配置RemoteApp程序
(1)安装程序
在安装了远程桌面服务的计算机安装软件,与普通的计算机是不同的。
在远程桌面服务器上安装程序有两种方法:
方法一、开始—控制面板—程序,选择“在远程桌面服务器上安装应用程序”。
点这个按钮后,出现下面的界面
下一步,选择一个程序安装,我这里选择一个WinRAR进行测试。
下一步
安装完成。
安装完成后,一定要点这个“完成”按钮,这一点非常重要。
方法二:
程序安装前运行命令:
changeuser/install
程序安装完成后运行命令:
changeuser/execute
例如:
安装office2007
在“命令提示符”上,右键,“以管理员方式运行”(如果已关闭了UAC,用户帐号控制并把当前用户加入到本地管理员组中的,可以直接运行“命令提示符”)。
输入命令:
changeuser/install
安装Office2007,安装过程略。
安装完成后,运行命令:
changeuser/execute
这两种方法的比较:
方法一比较直观,适合安装比较小型的软件,不需要重新启动计算机就可安装完成的软件。
方法二适合安装大型软件,需要重新启动才能完成安装的软件。
(2)添加RemoteApp程序
开始—管理工具—远程桌面服务—RemoteApp管理器,添加RemoteApp程序。
下一步。
选择“Excel”和“Word”,下一步。
点“完成”。
(3)制作RemoteApp程序
添加的RemoteApp程序已经默认可以通过RDWeb访问。
制作RemoteApp程序有两种方法:
方法一:
在RemoteApp程序上右键,选择“创建.rdp文件”。
方法二:
在RemoteApp程序上右键,选择“创建WindowsInstaller安装包”。
通过以上两种方法创建的文件,默认存放在C:
\ProgramFiles\PackagedPrograms目录中。
下面重点介绍一下,第二种制作RemoteApp的方法。
在ExcelRemoteApp程序上右键,选择“创建WindowsInstaller安装包”。
下一步,下一步。
在这界面一定要注意。
在“桌面”上打勾,创建的程序包安装后,会在桌面上生成程序图标。
在选择“将此程序的客户端扩展与RemoteApp程序相关联”这个选项时一定要慎重,勾选后,生成的安装包在客户计算机安装后,会改变客户计算机的文件关联,默认使用RemoteApp程序来打开文件。
如果客户计算机安装了这个RemoteApp程序,且无法连接远程桌面服务器,本地的相关文件将无法打开。
所以,这个选项最好别选为好。
(4)发布RemoteApp程序
方法1:
共享C:
\ProgramFiles\PackagedPrograms目录,让用户从这个文件夹中拷贝RemoteApp程序,运行即可。
方法2:
使用U盘等移动设备拷贝给用户即可。
方法3:
打开IE浏览器,输入https:
//远程桌面服务器计算机名或IP/RDWeb
方法4:
使用组策略来发布.msi安装包。
这个方法可以批量部署程序。
RemoteeApp的配置基本结束,以后再介绍如何来运行RemoteApp程序。
4、运行RemoteApp程序
客户端计算机能正确运行RemoteApp程序,必须具备以下两个条件:
(1)RemoteDesktopConnection必须在6.0以上,如果需要访问RDWeb服务器上的程序,则RemoteDesktopConnection必须在6.1以上。
而Windows2003的RemoteDesktopConnection最高版本只有6.0。
WindowsXP和Vista的RemoteDesktopConnection的最高版本为7.0。
RemoteDesktopConnection可以从微软下载中心找到。
XPKB9690847.0
VistaKB9690847.0
Vista64KB9690847.0
RemoteDesktopConnection7.0下载网址:
Win2003KB9258766.0
RemoteDesktopConnection6.0forwin2003下载网址:
(2).NETFrameWork必须在3.0SP1以上。
目前.NETFrameWork的最高版本为3.5SP1。
其实这个并不是必须的,我写在这里,主要是因为这个软件包非常重要,如果使用RemtoeApp的打印功能,就必须安装这个软件包,如果不安装此软件包,就会导致RemoteApp异常终止。
.NETFrameWork3.5SP1下载网址:
如果以前已经安装了.NETFramework的其它版本,先卸载再安装新版本。
●在XP上运行RemoteApp程序
这台XP计算机我已加入域RYBB。
先安装RemoteDesktopConnection7.0和.NETFrameWork3.5SP1
1、通过RDWeb访问,这个访问是通过安全端口445进行访问的,相对比较安全。
打开IE浏览器,输入
选择“是”
输入域帐号和密码,选择“这是一台专用计算机”,点“登录”
鼠标单击“MicrosoftOfficeExcel2007”
点“连接”
再次输入域帐号和密码,点“确定”
点“查看证书”
点“安装证书”
点“下一步”
选择“将所有的证书放入下无存储区”,点“浏览”
选择“受信任的根证书颁发机构”,点确定
点“下一步”
点“完成”
点“是”
点“是”,再点“确定”,再点“是”,启动RemoteAppExcel2007。
看起来很麻烦,导入证书做一次就可以了,下次再登录就方便多了。
这里一共导入了两个MYPC的证书,自己可以看一下。
Internet选项—内容—证书—受信任的根证书颁发机构,可以找到MYPC的两个证书。
2、使用远程桌面配置文件rdp来运行RemoteApp程序
使用远程桌面配置文件rdp来运行RemoteApp程序,因为使用了3389端口,因此安全隐患大大增加,不过只在局域网中使用,安全性基本上可以保证。
第一次,执行Excel.rdp,需要输入帐号和密码,以后双击这个文件就可以直接运行,不需要再输入帐号和密码了,使用很方便。
因为操作比较简单,就不啰嗦了。
3、使用MSI安装包来运行RemoteApp程序
使用MSI安装包来运行RemoteApp程序,也使用了3389端口。
双击Excel.msi文件安装,以后就可以用“开始—所有程序—远程程序—MicrosoftOfficeExcel2007”来运行。
这种方法会在添加/删除程序中出现Excel2007的项,如果以后不用了,可以在“控制面板—添加/删除程序”中卸载。
这种方法的优点最突出,使用域帐号登录的用户直接就可以使用,不需要再次输入凭证。
MSI安装包还有一个特点,如果在制作安装包时,选择了“将此程序的客户端扩展与RemoteApp相关联”,则客户端的相应的文件会和RemoteApp程序关联。
这个特点说不上是优点,但应该也算是一个比较有用的特点,就看怎么来使用了。
●三种运行RemoteApp程序的对比
安全性
易用性
组策略发布
文件关联
使用范围
RDWeb
高
比较繁杂
否
否
广域网、局域网
Rdp文件
低
比较简便
否
否
局域网
Msi安装包
低
最简单
能
能
局域网
5、RemoteApp程序的输入法设置
RemoteApp程序的输入法只能使用服务器上已安装的输入法,而不能使用本地的输入法。
在语言栏上右键,设置,可以添加自己所需的输入法。
6、RemoteApp程序的文件保存
(1)首先来看一下通用的RDP设置,开始—管理工具—远程桌面服务—RemoteApp管理器,RDP设置,点“更改”。
如果不勾选设备和资源中的选项,将不能被RemoteApp程序使用。
例如:
如果不勾选“磁盘驱动器”,RemoteApp程序Excel保存时,只能保存在服务器中,而不能保存在本地磁盘。
除非特殊的原因,我们不想让用户把文件都保存到服务器,这样用不了多久,我们就会为服务器的磁盘空间不足而苦恼了。
(2)如果你用RDWeb方式运行RemoteApp,你会发现,“驱动器”、“端口”、“其它支持的PnP设备”,不会勾选。
每次都必须手动来选择。
这可以看出,微软总是假设我们使用互联网方式来使用RDWeb的RemoteApp。
互联网的速度有时太慢,映射本地的驱动器和端口可能会因网络延时太大而失败。
连接时,要注意选择“驱动器”,以保证保存时能保存到本地磁盘。
在RemoteApp程序Excel中点保存,默认会保存在“我的文档”中,当然这个我的文档是在服务器,这不是我们希望的。
我们希望文档保存在本地计算机的磁盘中。
在左边点“计算机”,右边选择本地磁盘“MYPC1上的C”,选择一个文件夹保存。
远程桌面服务器的安全性:
我们发现,在保存时,可以在远程桌面服务器的D盘、E盘的根目录中存放文件,在C盘的根目录及Windows系统自建的文件夹不能写入文件。
因此,我们应该修改磁盘和目录的NTFS权限,以避免用户写入文件和文件夹。
如上面图所示,修改远程桌面服务器的磁盘和文件夹上的NTFS权限。
策略设置如下:
C盘以外的盘符删除除administrators组和system组的所有权限。
C盘只设置Users组读取和执行权限。
具体设置方法:
(1)C盘NTFS权限设置
C盘,右键,属性。
“安全”选项卡。
点“高级”
点“更改权限”
●删除Usersr的“创建文件夹、附加数据”和“特殊”这两个权限。
读取和执行的权限不修改也基本能保证用户不会把文件存入到远程桌面服务器自己帐号以外的文件夹中。
用户自己创建的文件能够删除。
●如果想让用户对所有的文件夹、子文件夹和文件只有读取的权限,就修改Users的读取和执行权限,只留下读取权限即可。
用户自己创建的文件不能删除。
不过,这样设置以后,我担心有的软件可能无法正常运行,没有经过详细的测试,发现有RemoteApp程序运行异常时,再修改权限也可以。
(2)在其它盘上设置NTFS权限
在其它盘上设置NTFS权限就很简单,删除除了administrators组和system组以外所有组的权限。
安装程序最好安装在C:
\Programfiles文件夹中。
因为系统默认会对这个文件夹进行写保护。
经过以上设置,我们再来看文件保存。
在C盘根目录及其它目录都不能保存。
无法访问D:
\。
试验表明,经过NTFS权限设置,完全能对Users组进行控制,不过对Administrators组不能控制,当然必须要保证管理员用户能访问所有磁盘及文件夹,否则,就会出大问题了。
7、RemoteApp程序的打印
在Windows Server® 2008中,已经通过添加“终端服务轻松打印”打印机驱动程序和一个只能重定向默认客户端打印机的组策略设置改善终端服务打印。
终端服务轻松打印驱动程序是WindowsServer 2008中的一项功能,用户可以使用它从终端服务RemoteApp(TM)程序或从终端服务器桌面会话可靠地打印到客户端计算机上的正确打印机。
还能够使用户在本地和远程会话之间获得更一致的打印体验。
“终端服务轻松打印”驱动程序提供以下功能:
∙提高了针对RemoteApp和远程桌面会话的终端服务打印的可靠性。
∙支持旧版和新版的打印机驱动程序,而无需在终端服务器上安装这些驱动程序。
∙在打印机枚举性能方面,对特定于WindowsServer2003的可伸缩性的改进。
在Winlogon进程期间,后台处理程序只枚举用户可在特定会话中使用的打印机,而不枚举所有重定向的打印机。
因此,在每个会话的基础上枚举打印机,而不是在每个用户的基础上枚举打印机。
∙改善了可用的打印机功能。
“终端服务轻松打印”驱动程序在远程会话中提供丰富和完整的打印机功能。
当用户查看打印首选项时,可以使用物理打印机驱动程序的所有功能。
(1)远程桌面服务器设置
必须安装.NETFrameWork3.0SP1以上的版本,在Windows2008中已集成该组件。
服务器管理器—功能—添加功能,勾选“.N